Nowy atak na schowki podmienia adresy portfeli kryptowalut
Nowe narzędzie hekerów o nazwie Laplas Clipper, które zostało niedawno zauważone, manipuluje zawartością schowka podstawiając adresy portfeli kryptowalut, wyglądające jak adres docelowego odbiorcy ofiary.
Laplas różni się od innych złośliwych programów tego typu, które zazwyczaj są tylko dodatkami do złośliwego oprogramowania kradnącego informacje. Nowe narzędzie daje hakerom dokładniejszą kontrolę i lepszy wgląd w efektywność ich działań.
Narzędzie udostępniane jest w modelu subskrypcyjnym, a najdroższy poziom to 549 USD za roczny dostęp do webowego panelu, który pozwala operatorom monitorować i kontrolować swoje ataki. Tygodniowa liczba zauważonych ataków z wykorzystaniem Laplas Clipper wzrosła z mniej niż 20 dziennie do 55 pod koniec ubiegłego miesiąca. Takie dane wskazują analitycy z firmy Cyble. Obecnie Laplas jest dystrybuowany za pośrednictwem Smoke Loader i Raccoon Stealer 2.0, co wskazuje, że przyciągnął uwagę cyberprzestępców.
Standardowe narzędzia kradnące schowek monitorują schowek systemu Windows i aktywują się, gdy wykryją adres portfela kryptowalutowego, który użytkownicy zazwyczaj kopiują jako miejsce docelowe dla płatności. Kiedy tak się dzieje, narzędzie zmienia ten adres na adres należący do cyberprzestępców, przekierowując w ten sposób płatność do hakera. Aby przeciwdziałać temu zagrożeniu, wielu posiadaczy kryptowalut sprawdza dziś, czy adres w schowku jest tym zamierzonym, porównując kilka znaków, co zapobiega działaniu większości tego typu narzędzi.
Nowe podejście do ataku na schowek
Twórcy Laplas wymyślili nowe podejście do oszukiwania użytkowników kryptowalut poprzez wykorzystanie adresów, które ściśle przypominają te skopiowane przez ofiarę.
Nie jest jasne, w jaki sposób hakerzy uzyskują podobne adresy. W testach przeprowadzonych przez BleepingComputer udało się wygenerować adres podobny do oryginalnego w ciągu zaledwie pięciu sekund. Jest to jednak znacznie dłużej niż czas, jaki zajmuje przeciętnemu użytkownikowi kopiowanie i wklejanie adresu.
Jedna z teorii mówi, że hakerzy wstępnie wygenerowali ogromną liczbę adresów, by Laplas mógł wybrać te, które są podobne do adresu, z którego korzystała ofiara. Cyble zauważa, że proces ten odbywa się na serwerze atakującego, więc dokładny mechanizm pozostaje nieznany.
Narzędzie obsługuje generowanie adresów portfeli kryptowalutowych dla następujących walut: bitcoin, bitcoin cash, litecoin, ethereum, dogecoin, monero, algorand, ravecoin, ripple, zcash, dash, ronin, tron, tezos, solana, cardano, cosmos, qtum i steam trade.
Aktualnie brak komentarzy.